RANSOMWARE ARENA, (DE LA FAMILIA TROLDESH) QUE AÑADE .ARENA AL FINAL DE LA EXTENSION DE LOS CIFRADOS

Recibimos incidencia  de ficheros cifrados por una nueva variante del Ransomware ARENA, que además de afectar los normales ficheros de datos, también cifra los EXE y los LINKS

Se trata de una versión “mejorada” del TROLDESH, alias Crysis o Ransomware Dharma.

Mientras que algunos investigadores de seguridad consideran que el ransomware Arena es una versión nueva del virus Dharma, otros dicen que es el mismo virus, sólo con un nombre y extensión de archivo diferentes. De una u otra manera, este virus es extremadamente peligroso y puede causar una gran cantidad de problemas.

total ofrece el siguiente informe:

“Proceso de encriptación del ransomware Arena

Esta variante de malware puede entrar en el ordenador como un adjunto en los emails de spam o como un pack con algún otro software gratuito de reputación cuestionable. Cuando se adentra en el ordenador, ejecutará un escaneado a los archivos almacenados en su disco duro – de la misma manera que un software antivirus. Sin embargo, el objetivo de este escaneado es completamente el contrario – El ransomware Arena identifica los archivos que se pueden bloquear y los encripta usando una criptografía única. Básicamente cualquier archivo que se usa a diario puede ser encriptado – archivos de fotos, vídeos y audio, documentos de texto y muchas cosas más.

Cuando todos los archivos estén bloqueados, notará que el nombre de cada archivo guardado en su disco duro ha cambiado. Eso es porque el ransomware Arena añadirá una extensión personalizada a todos ellos. Esta extensión es bastante inusual – .id-[id].[email].arena. Así que, por ejemplo, si tenía un archivo llamado ‘holidays.jpg’, ahora se parecerá a: ‘holidays.jpg..id-[id].[email].arena’. Y a partir de este momento, no será capaz de abrir este archivo. También ejecutará un comando ‘vssanub delete shadows /all /quiet’ para poder eliminar todas las shadow volumen copies de su ordenador, así no será capaz de restaurar los archivos bloqueados desde una copia de seguridad.

Después de realizar la encriptación, se descargarán dos archivos automáticamente en su ordenador – ‘info.hta’ y ‘files encrypted.txt’. El primero se colocará y abrirá automáticamente en su escritorio, mientras que el segundo se pondrá en cada carpeta de su ordenador. ‘files encrypted.txt’ sólo es un mensaje corto de que todos sus archivos han sido encriptados y de que debe contactar con el hacker si quiere recuperarlos.

Texto original del mensaje files encrypted.txt:

Todos sus datos han sido bloqueados

¿quiere recuperarlos?

Escribir email a chivas@aolonline.top

____________

El texto original del archivo ‘info.hta’:

¡Todos sus archivos han sido encriptados! Todos sus archivos han sido encriptados debido a un problema de seguridad con su PC. Si quiere restaurarlos, escríbanos un email a chivas@aolonline.top Escribe esta ID en el título de tu mensaje [id] En caso de que no tenga respuesta tras 24 horas, escríbenos a eestas direcciones:chivas@aolonline.top Tiene que pagar por la desencriptación con Bitcoins. El precio depende de lo rápido que nos escriba. Tras realizar el pago, le enviaremos la herramienta de desencriptación que desencriptará todos sus archivos. Hay desencriptación gratuita antes de pagar como garantía para 5 archivos que nos envíe. El total de los archivos debe ser de menos de 10Mb (sin comprimir), y los archivos no deben contener información valiosa (bases de datos, copias de seguridad, hojas de cálculo grandes, etc.) Cómo obtener Bitcoins La manera más fácil de comprar bitcoins es en el sitio LocalBitcoins. Tiene que registrarse, hacer clic en ‘Comprar bitcoins0 y seleccionar el método de pago y precio. https://localbitcoins.com/buy_bitcoins También puede encontrar otros lugares para comprar BItcoins y aquí tiene la guía para principiantes: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ ¡Atención! No renombre los archivos encriptados. No intente desencriptar sus datos usando software de terceras partes, podría causar pérdidas permanentes de datos. La desencriptación de sus archivos con ayuda de terceras partes podría causar un aumento de precio (añaden su tarifa a la nuestra) o puede ser víctima de una estafa.
Como puede ver, los ciber criminales detrás del virus ransomware Arena ofrecen una desencriptación de hasta 5 archivos encriptados que le envíe para que puedan proporcionarle las versiones desencriptadas de dichos archivos y así probar que tienen el poder de hacerlo y animarle a que pague el rescate de esta manera. No está claro lo que tendrá que pagar, normalmente está entre 500$ – 1500$ USD.

________

IMAGEN:

El ELISTARA, detectará si hay la clave de lanzamiento que deja instalada y la eliminará en tal caso, pues de lo contrario, volvería a cifrar ficheros a partir del siguiente reinicio, y por ello debe eliminarse antes de restaurar la copia de seguridad.

Se recuerda que además de poder llegar anexado a mails maliciosos, llegan a veces por VPN desde ordenadores remotos con acceso a la unidad afectada, y en tal caso, las unidades afectadas no tendrán dicha clave, por quedar solo en el ordenador realmente infectado, causante del estropicio, pero no infectando a las unidades compartidas o remotas sino solo afectándolas con el cifrado en cuestión.

Una forma de ver la clave maliciosa en los ordenadores infectados, es con nuestro SPROCES, en cuyo grupo de 04 podrá verse el lanzamiento de un fichero atípico que deberá ser eliminada para que no se lance en siguientes reinicios. Una vez pasado el ELISTARA dicha clave ya quedará eliminada (al menos en las variantes conocidas)

Una vez mas, MUCHO CUIDADO CON LOS MAILS NO SOLICITADOS Y GUARDAR COPIA DE SEGURIDAD ACTUALIZADA FUERA DEL ALCANCE DE LAS UNIDADES COMPARTIDAS…

saludos

ms, 6-10-2017